-1

使用各种 linux 主机对一台 AD 服务器进行相当简单的设置。我们使用以下方法将 linux 主机附加到我们的域:

realm discover domain.example.com
realm join domain.example.com -U user.adm

我们的 /etc/sssd/sssd.conf 看起来像:

[sssd]
domains = domain.example.com
config_file_version = 2
services = nss, pam

[domain/domain.example.com]
ad_domain = domain.example.com
krb5_realm = DOMAIN.EXAMPLE.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = false
fallback_homedir = /home/%u@%d
access_provider = simple
simple_allow_groups = linuxaccess@domain.example.com

从这里我们可以作为 linuxaccess 组的一部分的 AD 用户登录。我试图重置密码,但得到:

[username.lin@hostname ~] passwd
Current Password:
New password:
Retype new password:
Password change failed. Server message: Access denied
passwd: Authentication token manipulation error

/var/log/secure 显示:

Oct 12 14:39:48 computer passwd: pam_unix(passwd:chauthtok): user "username.lin" does not exist in /etc/passwd
Oct 12 14:40:01 computer passwd: pam_unix(passwd:chauthtok): user "username.lin" does not exist in /etc/passwd
Oct 12 14:40:01 computer passwd: pam_sss(passwd:chauthtok): Password change failed for user username.lin: 20 (Authentication token manipulation error)

关于为什么似乎不支持更改密码或配置错误可能是什么的想法?在 pam.d 中猜测一些东西,但不自信。

4

1 回答 1

1

我试图重现您的场景,并且在尝试为 AD 用户更改密码时也遇到了同样的错误。

默认组策略具有“最小密码期限”,这将阻止您在用户创建/之前的密码更改后 24 小时内更改密码。

在此处输入图像描述

解决方案是将 GPO 更改为零天并在域控制器上执行 gpupdate - 或等待 24 小时。

Active Directory 服务器上的 GPO 安全设置很可能是默认设置,也可能由 AD 管理员自定义。

注意:最短密码使用期限: 将此值设置为 1 天。Microsoft 建议不要将此设置为 0,因为它允许立即更改密码。用户可以在同一天更改密码 24 次,并恢复为旧密码。

参考:https ://www.pcwdld.com/domain-password-policy-how-to-configure#wbounce-modal

无法使用 sssd 在 ubuntu 上更改 AD 密码

于 2021-10-26T07:45:12.733 回答